毒师周军：我如何创造一只“杀毒神兽”

火绒的用户大概在200-300万，这些终端很多都是类似网络管理员这样的“关键人物”。所有这些用户实际上散步了一张非常广泛的信息收集网。在用户的许可下，所有的可疑行为都会被收集，经过本地分析以后，汇总到威胁情报平台。这些数据达到一定的数量，就可以清晰地呈现出哪些新的行为模式正在产生。而我们仅仅需要对可疑的大量的行为进行人工审核，就可以判定这是不是一种新的病毒。

这就是“用威胁情报的方式做终端安全”。使用这个方法，我们发现了很多隐藏极深的木马病毒。

例如一个被我们命名为“Toxik”的病毒。

2016年4月，我们的威胁情报系统发现，一个知名软件的升级程序，居然在很多终端上“不务正业”地下载了许多其他软件，说白了就是软件推广。

经过我们的分析，发现了事情的真相。原来这个升级程序被各大安全软件列入了“信任白名单”，而“Toxik”病毒正是利用这个漏洞，先入侵升级程序，再恶意推广。最终，我们通过人工溯源，成功地定位到了病毒代码源头，直至找到病毒制造者本人。

用威胁情报系统发现的病毒还有：劫持流量的小马激活、能够“攻破” HTTPS 协议的净广大师、专门攻击盗版用户的 Bloom 病毒，等等等等。

【Toxik 病毒感染全流程】

（六）

有两件事让我很纠结。

第一件事，就是现在捆绑安装成为了一种“标配”。但是在“软件免费化”的洪流中，所有的软件几乎都在做这样的事情。

而在我们的观点中，所有静默安装捆绑推广都是对用户的侵害。只是在现阶段，我们没有办法把这些软件标定为病毒。如果按照严格的标准来说，很多日常在使用的，用户上亿的大软件，都可以被定义为流氓软件。

实际上，在我们的威胁情报系统后台，前十位软件侵权行为都是我们日常在用的某些来自 BAT 的流行软件。这让我们无法忽视。

所以，我们的做法是：至少让用户知情。如果一个软件捆绑安装了其他软件，那么在安装进行的时候，火绒会弹出询问框，让用户得知后台在发生什么，然后来决定是不是进行安装。

第二件事就是，在我们心里提供好服务的软件，尤其是杀毒软件，应该是收费的。

火绒的目标就是要用纯净的纯粹的服务，来换取用户合理的费用。从瑞星走出来之后，这些年我看到了杀毒软件市场的免费化带来了巨大的伤害。

本来是“保安”的安全软件不向雇主要公司，反而把雇主的信息泄露出去，用雇主的资源弄钱花，我不认为这是一条好路。

我和朋友们一手创建了火绒，我深知火绒还需要打磨。即使现在火绒仍然免费，但是没关系，我们可以用技术输出、定制开发项目的方法来养它。我不希望看到在火绒上有任何的捆绑，有任何的弹窗。我只希望这是一个纯粹的安全软件。

我期待，有一天这个商业世界允许用户为火绒安全买单，那将是对我这个“毒师”最大的褒奖。

结语·采访手记

埃及法老用一座座金字塔来标榜自己的辉煌。蜉蝣于尘世的我们同样希望创造自己的坚硬城邦。

对于周军来说，他的金字塔就是面前的火绒安全。我们总在焦急地追赶飞驰的岁月，他却站在飞逝的时光中细细雕刻着自己的“杀毒神兽”，任这个世界从平地高楼到大厦倾圮，从高山为谷到深谷为陵。

如果病毒代表了人性当中的恶，那我们至少应该庆幸，因为像周军一样的“毒师”存在，世界并没有想象中那么糟。

我们的岁月静好，来自这些痴人的永不回头。

（编辑：源码门户网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!